我正在开发几个 RESTful API 供 3rd 方调用,这些 API 需要身份验证(基于 apikey 和 secret )和授权(基于 HTTP 方法和 URI)。
是否有任何我们可以重用的现有软件阻止我推出我们自己的安全层实现?
最佳答案
HTTP 为您提供了支持,因此您无需重新发明轮子
要么使用:
Auth Digest 的优势在于它不以明文形式传输密码并处理重放攻击(使用随机数)。
我们使用 HTTP Auth Digest (Tomcat servlet 容器直接支持它),我们对此很满意。
编辑:有些客户对 Digest 有问题(不是那么简单),所以现在我会选择 Basic 和 SSL。 Basic 的优势还在于您可以进行抢占式身份验证(在第一个请求中发送 user:pwd)。
关于api - Restful API 认证推荐?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3531524/